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Resumen ejecutivo 


El primer año de pandemia supuso para la elaboración de esta nueva edición de "¿Dónde están mis 
datos?” múltiples retos. El más relevante, quizá, tiene que ver con la integración de nuevos ejes de eva- 
luación para documentar la forma en que las medidas desplegadas por el gobierno nacional para la 
contención de la pandemia impactaron en los compromisos de los proveedoras de servicios de internet 
(PSI) en materia de transparencia, libertad de expresión, intimidad y seguridad digital. 


En nuestro balance general de la información que las empresas publicaron en 2021 sobre lo sucedi- 
do en el año 2020, primer año de la pandemia, vimos que en relación con criterios de evaluación tra- 
dicionales no se presentaron muchos cambios. Varias empresas mantuvieron su desempeño, incluso 
aquellas que todavía se encuentran en rezago ante la publicación, por ejemplo, de su informe anual de 
transparencia, o de políticas de protección de datos con mínimos que están previstos en la ley. Las no- 
vedades más relevantes fueron documentadas en torno precisamente de los nuevos ejes de evaluación: 
neutralidad de la Red y acceso directo. 


Los resultados del informe 
En 2021 la empresa que mejor puntaje obtuvo, en general, fue Movistar, seguida por Claro y Tigo que 
comparten un puntaje similar. 


+ 
U 
ZA 
Y 
U 
£ 
E) 
E] 
L 


Claro” 
2 


1. Compromisos 
políticos le 


p) 





AMARO YA! 
po! 3 2 p) 1 








WN 
W 
md 
BJ 
N 
md 
sl 


2. Intimidad 


N 


























N 


43.4 4 pa O po) 
1 MEA ME 


4. Seguridad 
digital 


3. Libertad de 
SIC 





























6 ¿Dónde están mis datos? 2021 


1.1. Compromisos políticos 
En materia de género y accesibilidad destacan particularmente Movistar y Tigo, seguidos de Claro, 
ETB y DirecTV que comparten un mismo lugar. 


En relación con los informes de transparencia Movistar sigue siendo la empresa con el mejor puntaje. 
Informa de manera plena sobre todos los criterios esperados y de forma desagregada, incluyendo los 
eventos de bloqueo ante la declaración de estados de emergencia o excepción. Claro y Tigo compiten 
con un mismo puntaje en este eje. 


En relación con la neutralidad de la Red, que es un nuevo eje de evaluación, destacamos particular- 
mente los casos de Movistar, Tigo, Avantel y Hughesnet que además de publicar sus prácticas de ges- 
tión del tráfico hacen expreso su compromiso por proteger dicho principio. 


1.2. Intimidad 

En el primer eje de evaluación sobre protección de datos debemos indicar que en comparación con 
los hallazgos del año anterior no se produjeron cambios, por tanto Claro, Movistar, Tigo, ETB, Emcali, 
Avantel y DirecTV recibieron el mismo puntaje dada la ausencia de modificaciones en sus políticas de 
tratamiento de datos. 


Sobre la evaluación en materia de retención de datos tanto Claro, Movistar como Tigo informan que 
están obligadas por ley a retener datos en indicación del marco legal, mientras que ETB menciona en 
su política de tratamiento de datos que retiene datos sin indicación del marco legal. 


En relación con el nuevo eje de evaluación en el que buscamos que se informe a las personas usuarias 
de los servicios de estas empresas sobre la existencia del acceso directo que efectúa la Fiscalia General 
de la Nación para interceptar comunicaciones, resaltamos que en este criterio de evaluación destaca el 
caso de Movistar, por la claridad en la información que entrega de este tema y reconocemos que tanto 
Claro como Tigo también dan información sobre diferencias en el marco jurídico que habilita a esta 
modalidad de vigilancia de comunicaciones. El caso de Tigo es especial, pues se encuentra además 
reforzado por el informe mundial de su empresa matriz, Millicom. 


En relación con las solicitudes de datos por parte de entidades públicas, procedimiento de entrega y 
notificación a las personas sobre dichos eventos, durante 2021 los PSI no efectuaron cambios significa- 
tivos en sus políticas sobre entrega de datos en comparación con la información que ya ofrecían. 


1.3. Libertad de expresión 
En este eje se analiza la obligación legal de bloqueo y el procedimiento de bloqueo que siguen los PSI. 
En nuestra revisión encontramos que Claro, Movistar, Tigo, ETB y Avantel informan sobre la ejecución 
de órdenes de bloqueo de sitios web o URL. Emcali y Hughesnet informan que bloquean sitios web o 
URL solo en el caso de circulación de contenido de abuso sexual infantil. Skynet no provee información 
sobre ninguno de estos criterios. 


1.4. Seguridad digital 


Encontramos que todos los PSl evaluados han implementado el protocolo https en sus sitios web. 


De otra parte en relación con la evaluación sobre si las compañías informan las fugas de datos perso- 
nales y acciones de mitigación en caso de que se presenten, si tienen protocolos de notificación a las 
autoridades cuando suceden fallas de seguridad que comprometen los datos personales de las perso- 
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nas usuarias de los servicios, así como si las notifican sobre estos sucesos luego de que hayan desple- 
gado las debidas medidas de mitigación, encontramos que Movistar, Tigo y Avantel son las Únicas que 
cuentan con un protocolo y documentación para realizar acciones de mitigación y bloqueos. Skynet 
advierte en general qué medidas de seguridad despliega pero no cuáles son las de contingencia que 
aplicaría para posibles brechas de seguridad. 


2. Los nuevos criterios de evaluación del informe 

La evaluación sobre la neutralidad de la Red apuntó a verificar si los PSI publicaron durante 2021 sus 
prácticas de gestión del tráfico y si asumieron un compromiso más activo por la garantía de uno de 
los principios fundantes de la Red que aseguran que el tráfico de contenidos, servicios y aplicaciones 
no sea discriminado de manera arbitraria. Se trata de un principio que se vio amenazado por la regu- 
lación de emergencia que previó su suspensión temporal producto, en esencia, de los temores de las 
autoridades que dudaron de la capacidad de la red para soportar un tráfico de mucho más elevado y 
constante de personas. 


De otra parte, la evaluación sobre el acceso directo es nuestro primer acercamiento de documenta- 
ción sobre una práctica de vigilancia de comunicaciones muy controversial y de dudosa constituciona- 
lidad. Analizamos la información de los últimos informes ¿Dónde están mis datos? para concluir que en 
Colombia las autoridades interceptan las comunicaciones de las personas usuarias de los servicios de 
telecomunicación vía celular, sin mediar orden alguna. Se trata de un tipo de vigilancia masiva de las 
comunicaciones que ha sido ampliamente cuestionada a nivel internacional, tanto por los organismos 
internacionales de derechos humanos como por empresas del sector. 


3. Otros puntos a resaltar del informe 

En esta nueva edición creemos que los operadores que han consolidado buenas prácticas, compatibles 
con la ley, deben poder apuntar sus acciones de mejora a la granularidad y detalle con que informan 
sobre cada situación que evaluamos, por ejemplo, desagregando las órdenes de bloqueo a sitios web y 
URL según qué autoridad la emite. O através de información mucho más precisa sobre los terceros con 
los que comparten los datos de las personas que suscriben sus servicios, más allá de las fórmulas gené- 
ricas. Las empresas que, por su parte, no han avanzado en compromisos de base tienen cada año un 
reto más grande, que es el de cerrar la brecha que las separa de aquellas otras con buen desempeño. 
Algo que sabemos, no se logra de golpe. 


Nuestras recomendaciones finales apuntaron a un mismo objetivo: se precisa aumentar los esfuerzos en 
favor de la transparencia, pues ésta es un instrumento clave para el ejercicio y la defensa de otros derechos. 


Las personas que suscriben los servicios de telecomunicaciones precisan saber, por ejemplo, cuándo y 
en qué ocasiones las autoridades públicas han requerido acceso a sus datos personales, especialmente 
con motivo de la pandemia, y en qué ocasiones los PSI han rechazado la entrega por su incompatibi- 
lidad con los derechos de privacidad y protección de datos de éstos. O necesitan mayor información 
sobre cuántas órdenes de bloqueo de sitios web han sido emitidas por las autoridades y cuántas de 
ellas han sido inaplicadas por los PSI por su incompatibilidad en el ejercicio de derechos como el de la 
libertad de expresión, por citar un caso. 


Nuestro informe además sembró el terreno para futuros criterios de evaluación de próximas ediciones. 
Por último, queremos agradecer a las compañías que en esta edición decidieron seguir de cerca nues- 
tras recomendaciones a través de “pequeños grandes cambios” que redundarán, en adelante, en la 
protección de los derechos de quienes suscriben sus servicios. 
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Sobre el informe 


¿Dónde están mis datos en la pandemia? 

La declaración de la pandemia a inicios de 2020 condujo a la imposición de limitaciones extraordina- 
rias al ejercicio de derechos. Desde las restricciones al libre tránsito hasta la suspensión de toda activi- 
dad que implicase el contacto humano fuera de casa: educación, trabajo, justicia, entretenimiento, etc. 


La gran mayoría de actividades se vieron forzadas a la virtualidad, y si bien es cierto que dicho trasla- 
do enfrentó -según cada actividad- más o menos retos, todas tuvieron en común el uso de una misma 
herramienta que, al tiempo, es un espacio de encuentro: Internet. 


La pandemia significó una presión sobre la Internet que se reflejó en al menos dos formas: el au- 
mento de la demanda de acceso al servicio, y el mayor apetito de los Estados por acceder a los 
datos de las telecomunicaciones. 


En relación con la primera forma de presión, creamos un nuevo criterio de evaluación en nuestro in- 
forme para incorporar el compromiso con la neutralidad de la red y que describiremos más adelante. 


La segunda forma de presión fue producto de cómo las solicitudes de datos en manos de los proveedores al 
servicio de internet integró rápidamente la caja de herramientas del Estado para hacer frente a la pandemia. 


En este sentido, a finales de marzo de 2020 se emitió la Circular Externa 001 por la Superintendencia 
de Industria y Comercio (SIC) que ordenaba a responsables del tratamiento de datos personales tanto 
en el sector público como privado el “suministro de información al Departamento Nacional de Planea- 
ción (DNP) y demás entidades estatales que las requieran para atender, prevenir, tratar o controlar la 
propagación del COVID-19 (coronavirus) y mitigar sus efectos”. Lo que interpeló, por supuesto, a las 
empresas de telecomunicaciones. 


Por los medios de comunicación supimos que algunas autoridades locales? apuntaban a obtener los 
datos de las personas que fueran beneficiarias de ayudas sociales con motivo de la pandemia, un fin 
loable que, sin embargo, era ampliamente superado con el alcance de la autorización dada por la SIC. 
Esta situación nos llevó a varias organizaciones de la sociedad civil a calificar este acto de "cheque en 
blanco” que no cumplía con los estándares de una respuesta proporcional, necesaria y no discriminato- 
ria del gobierno durante la emergencia sanitaria?. 


La Circular finalmente no fue aplicada respecto de los PSI pues, frente a la presión de la sociedad civil 


1 Ver, por ejemplo, el caso de la Alcaldía de Bogotá en donde se mencionó la necesidad de que los PSI entregaran las bases de 
datos de todos sus abonados celulares para notificar a las personas sobre la entrega de subsidios económicos en atención a la 
contingencia económica que significó para muchas personas el cese de sus actividades. Ver video aquí. 


2 Se puede consultar este análisis en https://web.karisma.org.co/organizaciones-de-la-sociedad-civil-rechazan-circu- 





lar-de-la-sic-sobre-uso-de-datos-personales-para-controlar-la-pandemia 
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parece que se desplegaron alternativas menos invasivas de la privacidad de las personas suscriptoras 
de las compañías de telecomunicaciones, y que trasladó a éstas la tarea de envío de las notificaciones 
sobre la disponibilidad de subsidios económicos tan solo respecto de ciertos abonados celulares, sin 
mediar la entrega de sus bases de datos a las autoridades. A futuro seguramente nuestro informe va- 
lorará los compromisos y acciones de las empresas en este sentido. 


Adicionalmente, en Colombia, la virtualización de múltiples actividades por el Covid-19 supuso que 
quienes se encontraban en desventaja antes lo estuvieran más ahora, y evidenció la regresión en mate- 
ria de derechos en distintos campos producto de la brecha digital. 


La pandemia nos mostró cómo la tecnología que tiene el poder de impulsar el desarrollo y ampliar el 
ejercicio de los derechos para las personas, también puede incrementar las inequidades. Durante la 
pandemia, la acelerada digitalización de nuestras vidas mostró que la brecha digital se siente más en 
la ruralidad y afecta más profundamente a las personas en razón de su género, edad o autoreconoci- 
miento en grupos minoritarios y étnicos, por ejemplo. 


En los próximos años la capacidad de conectar y dar las mismas oportunidades con la tecnología a la 
población que habita la ruralidad será un factor central de las políticas públicas en una de las regiones 
más desiguales del mundo, América Latina, y por tanto para Colombia. Esperamos a futuro hacer eco 
de esta realidad en nuestro informe de manera articulada con nuestra revisión a los compromisos en 
derechos humanos de las empresas de telecomunicaciones. 


¿Dónde están mis datos? Vistazo a nuestro informe 

Como ha hecho cada año desde 2016 la Fundación Karisma publica nuevamente su informe “¿Dónde 
están mis datos?” con el que se propone analizar cómo las principales empresas proveedoras del servi- 
cio de internet y telefonía celular en Colombia dicen cumplir sus obligaciones en materia de derechos 
humanos. Se trata de un ejercicio que es replicado por otros países de la región y a nivel internacional 
por organizaciones especializadas en derechos humanos.* 


Desde entonces, el objetivo de este informe ha sido proveer una herramienta que facilite a las personas 
usuarias el proceso de toma de decisión cuando contratan dichos servicios, y además ofrecer un instru- 
mento que facilite la comprensión de aspectos de la tecnología que cada vez más deben ser de interés 
general para las personas. 


“¿Dónde están mis datos?” analiza cómo protegen nuestros derechos a la libertad de expresión, intimi- 
dad y seguridad digital las siete compañías de internet y telefonía celular más importantes en el país: 
Claro, Movistar, Tigo, Etb, DirecTv, Emcali, Avantel. Como novedad en este informe que revisa la infor- 
mación disponible durante 2021, incluímos empresas de internet satelital como Hughesnet y Skynet 
por su rol para conectar a la ruralidad. 


El informe evalúa lo que estas compañías dicen hacer a la hora de respetar el ejercicio de los derechos 
de las personas que usan sus servicios. No se pretende verificar si en efecto cumplen lo que dicen hacer. 


En nuestra metodología* de análisis explicamos cómo desarrollamos dicho proceso, los cambios que 
efectuamos para evaluar el primer año de la pandemia, así como la información que consultamos en los 
dos ciclos de revisiones que llevamos a cabo y que socializamos previamente con las empresas evaluadas. 


3 Nos referimos en concreto a los informes de la Electronic Frontier Foundation titulado “Who has your back?” y el informe 
anual de Ranking Digital Rights titulado “Corporate Accontability Index”. 


4 La metodología de análisis de 2020 se puede consultar acá. Los informes anteriores se pueden acceder https://web.karisma. 
org.co/pagina-principal/que-hacemos/investigaciones/demd 
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Antes de adentrarnos a los cambios que introdujimos en nuestro informe queremos agradecer a las 
empresas que hicieron esfuerzos adicionales para atender las recomendaciones de nuestro informe en 
versiones anteriores, que apuntan, tal y como hemos sostenido en estos últimos seis años, a fortalecer 
conjuntamente el ejercicio de derechos en internet cuando se apoya en actores que juegan un rol deter- 
minante en su realización: los proveedores de acceso a internet. 


Nuevo criterio general: Neutralidad de la red 

Durante los primeros meses de la pandemia se impusieron cuarentenas estrictas en Colombia. La vir- 
tualidad obligada puso a prueba la capacidad de la infraestructura de la Red al tiempo que las au- 
toridades elevaron llamados al consumo responsable y “productivo” de contenidos a tal punto en que 
diversos sectores elevaron inquietudes en torno a la probabilidad de su colapso”. 


Como resultado de los altos picos de tráfico en la navegación en esa épocaf, el Gobierno Nacional 
así como la Comisión de Regulación de las Comunicaciones decidieron por medio de regulaciones de 
emergencia preparar el terreno en caso de que fuese necesario suspender la neutralidad de la Red. 


En dichas regulaciones se previó la priorización de contenidos y servicios útiles para el teletrabajo, la 
educación virtual, y el acceso a servicios e información pública sobre la pandemia disponible en sitios 
web del Estado, sin que en ellos se haya resuelto la pregunta sobre por qué había que dejar de lado los 
contenidos de entretenimiento (vitales en términos de salud mental) o quién tendría a su cargo resolver 
los problemas derivados de dicha discriminación de contenidos en caso de que resultara arbitraria”. 


Pese a que dicho escenario -por suerte- no se llegó a concretar, entendimos que la neutralidad de la 
Red merecía ser un compromiso político objeto de evaluación en nuestro informe para aportar a las 
discusiones sobre su regulación y suspensión en futuros contextos de emergencia. 


La neutralidad de la Red es una garantía que asegura que el tráfico de Internet sea tratado sin discri- 
minar por el tipo de dispositivo o contenido que se crea, accede o consulta por condiciones orientadas 
en su tipo, origen, geografía, autor, etc.?. Su protección, en resumidas cuentas, “es fundamental para 
garantizar la pluralidad y diversidad del flujo informativo” en la gran red de redes?. 


Si bien es cierto que dicha garantía puede ser limitada en casos excepcionales previa satisfacción de 
criterios de proporcionalidad, razonabilidad, necesidad y legalidad; también lo es que regular sobre 
dichos escenarios precisa, al tiempo, del continuo fortalecimiento de los mecanismos de transparencia 
que deben ser implementados por las empresas proveedoras del servicio de internet (PSI). 


5 Ver por ejemplo la columna de Carolina Botero, directora de Fundación Karisma, en El Espectador https://elespecta- 
dor-el-espectador-sandbox.cdn.arcpublishing.com/opinion/columnistas/carolina-botero-cabrera-sand/el-autocontrol-pa- 





riesgos de eventual colapso de internet por “avalancha del teletrabajo” https://www.semana.com/economia/articulo/capaci- 


dad-de-conexion-a-internet-de-colombia-para-facilitar-el-teletrabajo/657315/ ; o la columna de Camilo Andrés Garzón en la 








net-no-es-una-alternativa-frente-al-coronavirus/ 


6 La Comisión de Regulación de las Comunicaciones publica desde abril de 2020 informes sobre el comportamiento del tráfico 
de la Red con información que proveen los PSI con más de 50.000 usuarios. Pueden accederse aquí https: //www.crcom.gov.co/ 
es/noticias/estudio/reporte-trafico-internet-durante-emergencia-sanitaria-declarada-por-ministerio 





7 Ver el análisis que hicimos en el marco del Índice Derechos Digitales sobre el Decreto 464 de 2020 aquí https://cv19.karisma. 
org.co/docs/Decreto464MinisterioTIC/ 


8 Ver el informe que publicó Fundación Karisma sobre neutralidad de la Red en 2017 aquí. 
9 Comisión Interamericana de Derechos Humanos (2013). Informe “Libertad de Expresión e Internet”. Ver aquí https: //www. 


oas.org/es/cidh/expresion/docs/informes/2014_04 08 Internet_WEB.pdf pg. 28 
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Para integrar este compromiso en nuestro informe decidimos partir del deber legal** que ordena a los 
PSI la publicación de sus Prácticas de Gestión del Tráfico, es decir, las reglas razonables y no discrimina- 
torias que deben aplicar a la hora de garantizar un mejor servicio, y que en su aplicación no debe reñir 
con la garantía de neutralidad de la Red cuya normativa de base se remonta a 2011. 


En adelante, verificaremos que las empresas publiquen este tipo de información que, esperamos, esté 
redactada de manera fácil y “en un formato que resulte accesible para todos los interesados””!, 


Nuevo criterio general: acceso directo 

En Colombia no contamos con un marco legal que desarrolle con detalle la figura según la cual las au- 
toridades públicas pueden acceder de manera directa a la infraestructura y datos de las telecomunica- 
ciones de las personas eliminando de la ecuación a los proveedores de acceso a internet. Esta situación, 
conocida internacionalmente con el nombre de acceso directo*?, es una forma de vigilancia masiva de 
las comunicaciones que permite a las autoridades interceptar las comunicaciones personales sin nece- 
sidad de que intervengan las empresas que prestan dichos servicios. 


En Colombia, las autoridades acceden a las comunicaciones de las personas usuarias de las empresas 
que ofrecen dicho servicio a través de una puerta abierta a su infraestructura de telecomunicaciones 
contando además con la tecnología que les facilita dicho acceso”. 


¿Cómo sabemos que en Colombia las autoridades acceden directamente a los datos de las telecomunica- 
ciones de las personas suscriptoras de estos servicios? Aunque no hay suficiente claridad en el marco legal 
aplicable, las autoridades se han apoyado en disposiciones del Decreto 1704 de 2012 para implementar el 
acceso directo e interceptar las comunicaciones sin intervención de la empresa que tiene las redes. 


Es poco lo que sabemos sobre cómo sucede esta actividad pero, en el seguimiento que Karisma ha 
efectuado a través de ¿Dónde están mis datos?, hemos visto que algunas empresas desde 2017 han do- 
cumentado su existencia en sus informes de transparencia (caso de Movistar, Claro y Tigo) al sugerir o 
indicar expresamente una diferencia entre la interceptación de las comunicaciones sobre telefonía fija 
que dista de la interceptación sobre la telefonía celular. 


El informe de transparencia de Movistar desde 2017 (y que mantiene en 2020) indica que “[n]o se repor- 
tan interceptaciones sobre líneas móviles: La Fiscalía General de la Nación en Colombia, por ser la au- 
toridad competente de conformidad con la Constitución y la Ley, realiza las interceptaciones de manera 
directa sobre las líneas móviles”**, Claro, por su parte, solo indica que hay una diferencia en el marco legal 
aplicable, mientras que Tigo ha hecho más explícita la información que da cuenta de esa realidad. 


Desde Karisma seguimos animando a las empresas a dar más información sobre la interceptación de 


10 Resolución 3502 de 2011, art. 7 


11 Comunicado de Prensa sobre el Comunicado conjunto de las Relatorías de Libertad de Expresión acerca de Internet, ver 


https://www.oas.org/es/cidh/expresion/showarticle.asp?artiD=848 apartado 5 (b). 


12 Estas normas se han adoptado en diferentes jurisdicciones y han despertado importantes críticas incluso del sector privado 
de proveedores de internet como lo muestra la declaración de la empresa noruega Telia que puede leerse aquí https://www. 
teliacompany.com/en/news/news-articles/2019/respecting-freedom-of-expression--telia-companys-view-on-new-survei- 





llance-law-direct-access-in-norwa 


13 La Fundación Karisma hizo una traducción del comunicado de GNI sobre el acceso directo y que puede leerse aquí https: // 
web.karisma.org.co/definiendo-el-acceso-directo-qni-hace-un-llamado-por-una-mayor-transparencia-y-dialogo-en-torno- 
al-acceso-de-los-datos-de-las-personas-usuarias-de-los-servicios-de-telecomunicaciones-por-parte-de-los 








14 Elinforme de transparencia puede consultarse aquí https://www.telefonica.com/es/wp-content/uploads/sites/4/2021/08/ 
Informe-de-Transparencia-en-las-Comunicaciones-2021.pdf 
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las comunicaciones que efectúa las autoridades. Con el fin de aportar más datos que permitan a las 
personas entender mejor esta modalidad de vigilancia de comunicaciones, a partir de 2021 el infor- 
me evaluará a los proveedores del servicio de internet que de manera clara y accesible cuenten a sus 
suscriptores sobre la existencia del acceso directo, que permitan entender cómo sucede respecto a las 
investigaciones criminales y de inteligencia, y cuál es el marco jurídico que soporta esta acción. 


Nuestra meta a futuro es poder dar luz sobre una situación que la Global Network Initiative (GNI por 
sus siglas en inglés, una organización que reúne a cientos de empresas de telecomunicaciones con or- 
ganizaciones de la sociedad civil, academia e inversionistas para enfrentar los desafíos en materia de 
libertad de expresión y derechos humanos alrededor del mundo) ha manifestado como preocupante 
por la falta de transparencia de los Estados en torno a su uso, y por su incremento progresivo en distin- 
tos países como fruto del covid-19**. 


Cambios adicionales al informe 
Un par de cambios adicionales se verán reflejados en esta evaluación del primer año de pandemia. 


Se trata, por un lado, de la inclusión de un nuevo evento de bloqueo de URL y contenidos en los ejes de 
transparencia y libertad de expresión en los que verificaremos que se provea información sobre solici- 
tudes motivadas en los casos de emergencia sanitaria y estados de excepción. 


En concreto, buscamos que los PSI provean información accesible y clara sobre cuántos bloqueos han 
efectuado por motivo de la pandemia (un caso de emergencia y excepción todavía vigente), pues nos 
interesa empezar a documentar cómo evoluciona el número de solicitudes de este tipo, particularmen- 
te porque vimos órdenes de bloqueos o retiro de publicaciones soportados en posibles noticias falsas 
sobre el covid-19 o la difusión de publicidad engañosa en internet sobre curas milagrosas?*, 


Por otro lado, incluimos nuevos actores: las empresas de internet satelital (Hughesnet y Skynet). Eva- 
luar sus compromisos en materia de transparencia, libertad de expresión, intimidad y seguridad digital 
cobra relevancia en tanto que se trata de PSI cuya cobertura regional es significativa y cada vez mayor. 
Por ejemplo, Skynet es una empresa que provee servicios de conectividad en más de 1.100 municipios 
en 32 departamentos de Colombia”. Hughesnet es un proveedor con cobertura en al menos 1.000 mu- 
nicipios repartidos en 20 departamentos según uno de sus informes más recientes??, 


Creemos que las personas que decidan contratar sus servicios merecen conocer cuáles son las políticas 
con las que estas compañías dicen respaldar sus prácticas en la prestación de un servicio que hoy en día 
la legislación colombiana considera como uno de tipo esencial y universal.?” 


15 Publicación original que puede consultarse aquí https://globalnetworkinitiative.org/defining-direct-access-2 





16 Como las órdenes de la Superintendencia de Industria y Comercio para que influencers (caso Natalia París https://www. 
sic.gov.co/slider/superindustria-ordena-natalia-par%C3%ADs-el-cese-inmediato-de-la-promoci%4C3%B3n-del-produc- 





to-di4C3%B3xido-de-cloro y Elizabeth Loaiza https://www.sic.gov.co/slider/superindustria-sanciona-elizabeth-loaiza-jun- 


ca-por-publicidad-enganosa-al-promocionar-pruebas-rapidas-de-covid-19) retiren publicidad engañosa sobre el covid-19. 
Una situación que el Indice Derechos Digitales, del cual Karisma hace parte, analizó en el pasado https://indicecoronavirus. 


digital/docs/OrdenRetirarContenidosSIC/ 
17 Ver su sitio web https://www.sky.net.co/ 


18 Ver la entrada en su blog titulada “El internet satelital está conectando al campo colombiano”, disponible aquí. 


19 Ley 2108 de 2021 
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Principales hallazgos 


Tal y como anunciamos más atrás, en esta versión integramos nuevos actores, Hughesnet y Skynet. 
Sobre las demás compañías proveeremos un comparativo sobre su desempeño, no sin antes dejar de 
recordar que nuestra evaluación se orienta en la revisión del contenido de políticas, documentos y com- 
promisos públicos que se encuentran disponibles en los sitios web de cada proveedor de acceso a inter- 
net. La metodología no permite establecer si los compromisos se cumplen. 


En la edición de este año al tiempo que evaluaremos a los PSI, mencionaremos casos que documentamos 
durante el primer año de pandemia y que justificaría la implementación progresiva de mejoras en dichas 
políticas y documentos en aras de garantizar plenamente los derechos de las personas suscriptoras de sus 
servicios. Dicha documentación la incluiremos, cuando aplique, en una sección de contexto e interés. 


1. Eje de compromisos políticos 


1.1. Políticas de género y políticas de accesibilidad 


Buscamos incentivar a los PSI a través de nuestro informe para que incluyan buenas prácticas sensi- 
bles y respetuosas en materia de género, incentiven y promuevan la diversidad y la accesibilidad que 
permita integrar a personas con capacidades diversas tanto en el marco de sus operaciones internas 
como en la oferta de sus servicios comerciales. Consideramos que una empresa que tenga diversidad 
y sensibilidad por estos temas puede desarrollar políticas y prácticas más inclusivas y garantistas de la 
tecnología. 


En dicha evaluación verificamos si, por ejemplo, cuentan con políticas sobre selección y contratación 
de su personal que activamente promueva la selección de mujeres así como de poblaciones y comuni- 
dades minoritarias y diversas en el sector de las Tecnologías de la Información y las Comunicaciones 
(TIC). Si cuentan con políticas de desarrollo de carreras y capacitación de su personal, si cuentan con 
políticas favorables al equilibrio familiar y laboral, así como políticas dedicadas a prevenir y gestionar 
casos de abuso y acoso sexual en el trabajo, y la promoción de imágenes publicitarias no sexistas. 


En materia de accesibilidad buscamos identificar políticas que explícitamente declaren el compromiso 
del PSI por promover ajustes razonables y que integren especialmente a las personas con discapacidad 
y les permita el acceso y consulta de los contenidos que publican estas compañías en sus sitios web. 


En materia de género y accesibilidad destacan particularmente Movistar y Tigo, seguidos de Claro, 
ETB y DirecTV que comparten un puntaje similar. 


Movistar y Tigo publican diversas políticas que abordan por completo los ítems evaluados. Y si bien 
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Tigo no cuenta con una política de accesibilidad, recibió puntaje favorable por hacer disponible en su 
sitio web los ajustes razonables que permitirán en adelante a las personas usuarias de sus servicios ac- 
ceder a los contenidos en alto contraste, con ajustes en el tamaño de letra, entre otros. 


Nos parece igualmente relevante destacar el caso de DirecTV. Desde su adquisición en 2021 por el 
Grupo Werthein basado en Argentina, ha publicado información sobre políticas sensibles en materia 
de género y diversidad que especifican, por ejemplo, el diseño de planes de trabajo para ampliar la re- 
presentación de grupos LGBTI, de personas con discapacidad y mujeres tanto en sus operaciones como 
en su comunidad de personas usuarias. Esta nueva realidad empresarial seguro les permitirá recibir un 
puntaje más destacado en ediciones futuras de nuestro informe. 


1.2. Informes de transparencia 


1.2.1 Solicitudes de datos del suscriptor bloqueos de URL, 
interceptaciones de las telecomunicaciones 


La ley colombiana no obliga a los operadores a presentar informes de transparencia o informes pe- 
riódicos sobre los requerimientos que las autoridades hacen de los datos de las personas que usan sus 
servicios. Sí tienen obligación de entregar información pero sobre los planes de internet y telefonía 
celular o las prácticas de gestión de tráfico. Sin embargo, dar información sobre lo que sucede con los 
datos que recolectan se ha convertido en una buena práctica internacional especialmente entre las 
empresas del sector de las TIC. 


Ahora bien, como responsables del tratamiento de datos personales, los PSI sí tienen obligaciones de 
informar con claridad qué datos recogen y cómo los usan, así como de tener una política de tratamien- 
to de datos que advierta los eventos en que debe entregar los datos de sus suscriptores al Estado?”. 


En esta evaluación nos interesan tres tipos de peticiones o solicitudes que pueden elevar las entidades 
del Estado a los proveedores de internet y telefonía celular que son: (1) la entrega de datos de las per- 
sonas suscriptoras?””, (ii) las solicitudes de interceptaciones a líneas telefónicas fijas? y (111) los bloqueos 
de URL o sitios web motivadas, a su vez, en cuatro subtipos: la prevención del abuso sexual infantil en 
línea, combatir la ilegalidad en los juegos de suerte y azar?*, las órdenes de tipo judicial y administra- 
tivas, y las emitidas en el marco de los estados de emergencia y excepción”. 


Ante estos tres tipos de solicitudes que impactan en la privacidad y libertad de expresión de las per- 
sonas usuarias de las empresas, esperamos que éstas, de manera pública y accesible, relacionen el 
número de solicitudes recibidas por mes o año, las autoridades que efectúan estos pedidos, así como 
la relación de cuáles y cuántas solicitudes fueron atendidas de manera favorable y cuál terminó siendo 
su extensión en el tiempo. 


20 Obligaciones que se encuentran enmacadas por la Ley 1581 de 2012 y el decreto 1377 de 2013 especialmente. 


21 Art. 15 de la Constitución, Ley Estatutaria 1266 de 2008, Ley 1581 de 2012, Art. 244 de la Ley 906 de 2004 (búsqueda se- 
lectiva en bases de datos), modificado por la Ley 1908 de 2018; numeral 9 del Art. 277 de la Constitución Política (solicitud del 
Procurador General de la Nación); Arts. 631 y 684 del Estatuto Tributario (DIAN) y Cobro Coactivo de entidades públicas (Ley 
1066 de 2006). Art. 44 de la Ley Estatutaria 1621 de 2013 (inteligencia y contrainteligencia); Art. 4 del Decreto 1704 de 2012 
(interceptación legal). 

22 Art. 1 del Decreto 1704 de 2012. 

23 Según lo contenido en el art 7 y art 8 de la Ley 679 de 2001; art. 5 y art. 6 del Decreto 1524 de 2002. 

24 Según lo ordena el art. 38 de la Ley 643 de 2001. 


25 Según el art. 8 de la Ley 1341 de 2009. 
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En 2021, Movistar sigue siendo la empresa con el mejor puntaje. Informa de manera plena sobre todos 
los criterios esperados y de forma desagregada, incluyendo los eventos de bloqueo ante la declaración 
de estados de emergencia o excepción. Claro y Tigo compiten con un mismo puntaje en este eje. 


Claro informa sobre la ocurrencia de cada evento, el marco legal en que se justifica cada orden, las autori- 
dades con facultad para elevarlas ante la compañía, pero a la hora de proveer estadísticas desagregadas 
sólo lo hace en relación con las órdenes de bloqueo y los cuatro subtipos en que ésta se puede justificar. 


Tigo mejoró en comparación con el año anterior. En 2021 la empresa entregó información sobre las ór- 
denes de bloqueo de URL o sitios web, así como de solicitudes de datos personales de sus suscriptores, 
incluso éste último evento lo desagrega con especial detalle al especificar la autoridad requirente, el 
tipo de datos requeridos, y las solicitudes recibidas vs las solicitudes atendidas. 


ETB retomó para 2021 suinforme de “transparencia de datos”. Allí relaciona información desagregada 
sobre las solicitudes de datos del suscriptor así como las órdenes de bloqueo de URL o sitios web que 
fueron recibidas, desagregando en ambos eventos por autoridad solicitante, y por solicitudes proce- 
dentes vs las solicitudes recibidas. 


En este primer año de pandemia compañías como DirecTV, EmCali, Avantel y Skynet no publicaron 
informes de transparencia con información que permitiese evaluar su desempeño en este eje. 


DirecTV sigue publicando el procedimiento de bloqueo que se refiere en exclusivo a contenido aso- 
ciado con el abuso sexual infantil. Tomamos nota de su adquisición reciente por un grupo empresarial 
argentino, lo que puede que permita generar avances en materia de transparencia como los que ya se 
han documentado positivamente en políticas de género y accesibilidad. 


Hughesnet no cuenta con un informe de transparencia o sostenibilidad, pero en su política de trata- 
miento de datos informa que efectúa procesos de filtrado' de contenidos de abuso sexual infantil. 


*De contexto e interés* 


Compañías como Claro, Tigo y ETB no relacionan información sobre el número de solicitudes recibidas 
dirigidas a la interceptación de las telecomunicaciones de sus suscriptores. Movistar en su informe de 
transparencia señala que han cursado cero solicitudes de interceptación durante 2017, 2019 y 2020. Y 
que en 2018 recibió apenas 2 solicitudes de este tipo. 


Movistar de nuevo señala que sobre la interceptación de líneas móviles no se reportan datos pues “la 
Fiscalía General de la Nación en Colombia, por ser la autoridad competente de conformidad con la 
Constitución y la Ley, realiza las interceptación de manera directa sobre las líneas móviles”. 


La ausencia de solicitudes de interceptación de comunicaciones para líneas fijas confirma no solo que pre- 
dominan las comunicaciones por vía celular, sino que es un indicio que permite entender por qué las autori- 
dades han acudido cada vez menos al mecanismo tradicional de interceptación de comunicaciones vía los 
PSI (y que estos documentan en sus informes de transparencia cada vez menos) acudiendo en su lugar al 
acceso directo. Sobre esto ahondaremos en la sección sobre acceso directo en el eje de intimidad. 


1.2.2. Neutralidad de la Red 


La neutralidad de la Red es una garantía que desde 2011 se encuentra regulada en Colombia??. Tal y 


26 Ver la Ley 1450 de 2011, y la Resolución 3502 de 2011. 
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como lo describimos en nuestro informe sobre el tema, la neutralidad de la Red impone una prohibición 
a los proveedores del servicio de internet de “no interferir en el uso que las personas hacen de internet, 
siempre que este uso sea legal”?”. 


Dicha prohibición se articula a través de cuatro principios: libre elección, no discriminación, transpa- 
rencia e información?. 


El primero reconoce en cabeza de las personas usuarias de los servicios de telecomunicaciones el de- 
recho a utilizar, enviar, recibir u ofrecer cualquier contenido y servicio en línea a través, además, de 
cualquier tipo de tecnología digital. Y se prohíbe a los PSI su limitación arbitraria. El segundo, asegura 
que los PSI brindarán un trato igualitario a los contenidos y aplicaciones sin diferenciar en razón del 
contenido, su autor, origen, formato, etc. El tercero obliga a los PS! a proveer información sobre sus po- 
líticas de gestión del tráfico. Y el cuarto reconoce el deber de las compañías de internet de suministrar 
información sobre las condiciones de prestación del servicio en términos de velocidad, calidad, prácti- 
cas de gestión del tráfico según el plan de navegación, entre otros?”. 


Las Prácticas de Gestión del Tráfico (PGT) a través de las cuales los PS| pueden intervenir en el tráfico 
de internet para “reducir o mitigar los efectos de la congestión sobre la red” o “asegurar la calidad del 
servicio a los usuarios”, entre otros, deben ser razonables y no discriminatorias. 


En nuestra evaluación consultamos el contenido de las PGT y observamos que todos los PSI (a excep- 
ción de Skynet) las publican en sus sitios web, con alguna variación en términos de claridad y facilidad 
en su búsqueda. 


Destacamos particularmente los casos de Movistar, Tigo, Avantel y Hughesnet que además de pu- 
blicar sus prácticas de gestión del tráfico hacen expreso su compromiso por proteger el principio de 
neutralidad de la red. 








En 2020 el gobierno nacional expidió dos decretos*” que previeron la posibilidad de priorizar el tráfico 
de internet en caso de que fuese necesario para privilegiar la navegación de contenidos sobre "servicios 
de salud, páginas gubernamentales y del sector público, el desarrollo de actividades laborales”. 


Su desarrollo a nivel infralegal se desprendió en ese mismo sentido por la Comisión de Regulación de 
las Comunicaciones”? que expresó que la priorización podría versar sobre “aplicaciones y contenidos de 
salud, gobierno, sector público, actividades laborales, educación, y derechos fundamentales””?. 


Antes de su aplicación, según lo estableció la CRC, los PSI debían informar previamente a la autoridad 
de las comunicaciones sobre la evidencia disponible que justificara acudir a dicha medida de prioriza- 
ción. Además, impuso a su cargo el envío periódico de información sobre el comportamiento del tráfico 


27 Fundación Karisma (2017). Neutralidad de la red y ofertas comerciales en Colombia. Análisis de la regulación. Ver_https:// 
web.karisma.org.co/fundacion-karisma-publica-informe-sobre-neutralidad-de-la-red-en-colombia/ pg. 8 





28 Art. 3 Resolución 3502 de 2011 
29 Art. 3 Resolución 3502 de 2011 
30 Decreto 464 de 2020 renovado en el tiempo por el Decreto 555 de 2020. 


31 Integrado por la Resolución 5951 de 2020 (derogada), Resolución 5969 de 2020. Hicimos un análisis de esta última reso- 


lución para el Índice Derechos Digitales que se encuentra disponible aquí https://indicecoronavirus.digital/docs/Resolucion- 
5969CRC/ 


32 Art. 2, Resolución 5969 de 2020. 
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de internet, destinado a informar sobre el estado de la Red y los picos de mayor demanda del servicio, 
así como orientar la toma de decisiones sobre posibles eventos en que hubiese sido necesario aplicar 


dicha medida. 


El impacto de la misma pretendió ser extendido a futuro a toda “ocurrencia de pandemias declaradas 
por la Organización Mundial de la Salud”. La revisión constitucional del decreto 464 y 555 sirvió como 
escenario para que Karisma junto con otras organizaciones formulara comentarios” en torno a la des- 
proporción de una medida de este tipo con efectos a futuras emergencias sanitarias. También se en- 
fatizó en que toda suspensión del principio de neutralidad, sea parcial o total, debía acompañarse por 
la aplicación de estándares más elevados en materia de transparencia y publicidad correlativa de la 
información. Se trató de una postura compartida igualmente por la Procuraduría General de la Nación 
que intervino en dicho proceso. 


El fallo3* de la Corte Constitucional recogió dichas preocupaciones y aclaró que la previsión sobre la 
priorización del tráfico no significaba instaurar en la práctica un mecanismo de bloqueo de contenidos. 
Y pese a que no consideró que hubiese ninguna afectación arbitraria sobre el principio de neutralidad 
de la Red, acogió la postura según la cual la información producida por los PSI debía ser transparente, 
no podía ser calificada como reservada, y su acceso debía ser público, libre y accesible. 


Esta decisión fue particularmente rica por cómo en sus votos separados algunos magistrados de la 
Corte Constitucional permitieron recuperar interés en un principio tan importante para Internet. Algu- 
nos magistrados decidieron en sus salvamentos de voto ahondar especialmente en la importancia de la 
neutralidad de la Red y las precauciones que deben tomarse para su limitación parcial. 


Una de las magistradas ponentes refirió incluso a cómo los decretos que consagran estas medidas 
de priorización podían habilitar al despliegue de técnicas como la inspección profunda de paquetes?” 
(postura que puede o no ser compartida). Otra magistrada sostuvo que la Corte debió haber introduci- 
do condiciones más estrictas para que las medidas de priorización del tráfico fuesen verdaderamente 
excepcionales*?. Pese a las direcciones que tomó el debate constitucional éste contribuye, en todo caso, 
a enriquecer dogmáticamente y actualizar el interés sobre esta materia. 


2. Eje de intimidad 


2.1. Políticas de protección de datos 


La ley de protección de datos obliga al responsable de su tratamiento a contar con una política que 
permita advertir al titular qué información personal y sensible suya será recabada, para qué fines, qué 
uso se dará a los mismos y si se compartirá dicha información con terceros. Dicha política debe poder 
estar publicada y ser accesible para las personas suscriptoras a los servicios de los PSI. 


33 Suscritos también por la Fundación para la Libertad de Prensa, el Centro de Estudios de Internet y Sociedad de la Univer- 


sidad del Rosario ISUR, y Emmanuel Vargas Penagos. Puede leerse aquí https: //web.karisma.org.co/intervencion-de-la-cor- 
te-decreto-417-2020/ 
34 Que puede verse aquí https://www.corteconstitucional.gov.co/relatoria/2020/C-151-20.htm 


35 Ver el salvamento de voto de la magistrada Gloria Stella Ortiz Delgado. Su voto luego fue reiterado en el mismo sentido en 
el fallo C-209 de 2020 que analizó la constitucionalidad del Decreto 555 de 2020 cuyo contenido es idéntico al del Decreto 464 
de 2020. 


36 Ver el salvamento de voto de la magistrada Diana Fajardo Rivera. 
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Ya en los últimos informes habíamos mencionado cómo la confección de las políticas de protección de 
datos por parte de los PSI han dado un salto significativo en comparación con la primera evaluación 
de ¿Dónde Están mis Datos? de 2015. Pese a que ha habido progresos sustanciales en esta materia, 
creemos que todavía se requiere de un mayor nivel de desagregación y granularidad en la información 
que se provee sobre los datos objeto de tratamiento y su compartición con terceras partes (del sector 
público y privado). 


En comparación con los hallazgos del año anterior no se produjeron cambios””, por tanto Claro, Movis- 
tar, Tigo, ETB, Emcali, Avantel y DirecTV recibieron el mismo puntaje dada la ausencia de modifica- 
ciones en sus políticas de tratamiento de datos. 


Hughesnet cuenta con una política pública en su sitio web en la que advierte qué información personal 
habrá de recoger de sus suscriptores: nombre, dirección, estrato, número telefónico, dirección de co- 
rreo electrónico y su información financiera, tal como la información de su tarjeta de crédito. Describe 
así mismo hasta veintisiete tipos de finalidades distintas en las que se justifica la recolección de dicha 
información, pese a que no describe qué terceros podrán tener acceso a éstos y en dicho caso para 
satisfacer qué finalidad en concreto. 


Por su parte, Skynet informa las diez finalidades que justifican el tratamiento de datos personales de 
sus suscriptores, pero no define qué datos son esos más allá de advertir que son “datos personales”. 
Tampoco señala si comparte o no dichos datos con terceros y en caso afirmativo, para qué fines en 
concreto. 


Este año Avantel mantuvo en su política de protección de datos una estrategia que sugerimos en nues- 
tro informe anterior que valdría la pena replicar. Creemos que otros PSI puedan observar de cerca 
y adoptarla para ampliar el conjunto de buenas prácticas en la materia. La compañía consagra un 
análisis de impacto en privacidad para evaluar la compatibilidad de prácticas de protección de datos 
con las políticas institucionales, y el derecho de supervisar de manera periódica el cumplimiento de los 
requisitos legales y contractuales asociados al régimen de protección de datos personales por parte de 
terceros con los que la compañía sostiene un vínculo comercial. 


2.2. Retención de datos 


Cuando hablamos de retención de datos nos referimos especificamente a la obligación que tienen los 
PSI de conservar hasta por cinco años y entregar de manera inmediata a las autoridades de inteligen- 
cia y a la Fiscalía General, la información que producen en la prestación del servicio de telecomunica- 
ciones. 


En dicho caso, las compañías de telecomunicaciones deben colaborar con la Fiscalia General de la Na- 
ción para entregar, en el marco de una investigación penal, los siguientes datos**: 


* Los datos de la persona suscriptora, tales como identidad, dirección de facturación y tipo de co- 
nexión. Además deben conservarla por cinco años. 


* Información específica contenida en sus bases de datos, tal como sectores, coordenadas geográ- 
ficas y potencia, entre otras, que contribuya a determinar la ubicación geográfica de los equipos 
terminales o dispositivos que intervienen en la comunicación. Deben suministrarla en tiempo real 
en caso de que se requiera. 


37 Puede verse aquí https://web.karisma.org.co/donde-estan-mis-datos-2020/ 
38 Decreto 1704 de 2012, artículo 4. 
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La ley de Inteligencia y contrainteligencia obliga a los operadores a entregar a agencias de inteligencia””: 


* El historial de comunicaciones de los abonados telefónicos vinculados, es decir, de las personas 
que contratan sus servicios. 


* Los datos técnicos de identificación de las personas que suscriben sus servicios y sobre los que 
recae su operación, 


* Lalocalización de las celdas en que se encuentran las terminales y cualquier otra información que 
contribuya a su localización. 


Sin embargo, de toda la información que pueden producir los operadores sobre la actividad de los te- 
léfonos celulares, no está claro exactamente qué entregan a las autoridades de investigación penal e 
inteligencia cuando deben cumplir con estas normas. Por eso, en esta pregunta nos preocupamos por 
cómo informan (i) a las personas usuarias sobre la existencia de esta obligación, (ii) sobre qué datos 
retienen en concreto, (iii) sobre el tiempo por el cual los retienen. 


Además de las normas de retención de datos que acabamos de exponer, la Fiscalía puede realizar la 
"búsqueda selectiva en bases de datos”* y las autoridades, en general, pueden solicitar datos perso- 
nales sin autorización del titular, siempre que sea en ejercicio de sus funciones*. No está claro cómo 
funcionan en la práctica cada una de estas facultades ni cómo se relacionan entre ellas. 


En esta sección revisamos la forma como los operadores informan que desarrollan su obligación de 
retención de datos, cuáles son los que retienen y por cuánto tiempo. No revisamos el resultado de la 
actividad de retención de datos. Por ejemplo, el tipo de datos de las personas usuarias que fueron en- 
tregados en efecto a la Fiscalía. 


Para esta edición nuevamente la mayoría de los operadores informan sobre el cumplimiento de la ley 
-con osin la indicación del marco legal al que hacen referencia-, o publican que deben retener los datos 
de las personas que se suscriben a sus servicios. 


Sobre los datos que conservan para entregar a las autoridades en investigaciones penales o de inteli- 
gencia o el tiempo que dura la retención, los operadores no introdujeron cambios en 2021 en compara- 
ción con la información que ya proveían para 2020. En general las empresas en Colombia no son claras 
en los detalles en torno al cumplimiento de esta obligación legal. Veamos. 


Claro, Movistar y Tigo informan que están obligadas por ley a retener datos en indicación del marco 
legal. ETB menciona en su política de tratamiento de datos que retiene datos sin indicación del marco 
legal. 


Claro vuelve a ser la única que advierte el tiempo por el que retiene datos, el cual se extiende hasta por 
10 años, al parecer tomando el plazo de retención de los archivos de tipo contable sin que se explique 
cómo difrencia este plazo del que la ley ordena para la retención de datos para investigaciones penales 
y de inteligencia que es solo de 5 años. 


Movistar cita a plenitud el marco legal que justifica la retención de datos. Incluyen la Ley 906 de 2004 
(art. 235), Ley 1621 de 2013 (art. 44), y el Decreto 1704 de 2012 (art. 18). Ese marco legal describe el 
tiempo de retención que se extiende hasta por cinco años, el tipo de datos que son retenidos (metada- 


39 Ley 1621 de 2013, artículo 44. 
40 Ley 906 de 2004. Código de Procedimiento Penal. Artículo 244. 
41 Ley 1581 de 2012. Artículos 10 y 13. 
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tos como el historial de comunicaciones de las personas que suscriben sus servicios, su identificación, 
datos que faciliten su localización, entre otros). 


Tigo por su parte informa que tiene un deber legal de retención de datos sin especificar el marco legal 
en que se funda ese deber. Cuando se trata de detallar el tiempo por el que hace la retención de dichos 
datos, señala que lo hará por un periodo superior al autorizado por la persona titular de los datos sin la 
advertencia de un plazo determinado en el tiempo. 


ETB emplea una fórmula más bien genérica para señalar, por ejemplo, que retendrá los datos por el 
tiempo que sea necesario hacerlo. 


Por último, DirecTV, EmCali, Avantel, Hughesnet ni Skynet relacionan información sobre el deber le- 
gal de retención de datos, sobre el tipo de datos que retienen, ni el tiempo por el que lo hacen. 


2.3. Acceso directo 


Los estándares internacionales de derechos humanos obligan a que la interceptación de las comuni- 
caciones requiera por mandato legal que una autoridad competente emita una orden que está sujeta 
a parámetros estrictos de motivación fundada y razonable, y que en su confección atienda además un 
test de proporcionalidad en el que se justifique el qué, para qué y por cuánto tiempo de una medida que 
impacta en la privacidad de las personas. 


Dicha orden de acceso a las comunicaciones se remite a los proveedores de servicios de internet que 
pueden validar y analizar su contenido y forma y, en caso de hallarla deficiente o arbitraria, pueden 
oponerse a su ejecución. La intermediación le da a estas empresas un rol en la garantía de los derechos 
fundamentales de las personas que contratan sus servicios. 


El acceso directo, por su parte, faculta a las autoridades a tener acceso a las comunicaciones de las 
personas prescindiendo del rol de los PSI, situación que se ve aunada a su desregulación o ambigúedad 
legal que no cumplen con los estándares internacionales de protección a los derechos humanos. En el 
acceso directo las empresas están obligadas a dejar una puerta abierta en su infraestructura sin que 
tengan capacidad de negarse (puede llegar a ser una condición para funcionar en determinados palí- 
ses*), o de denunciarlo públicamente, tal y como lo han manifestado algunos proveedores internacio- 
nales de acceso a internet como Vodafone, Telenor, Millicom (antiguo propietario de DirecTV) y Telia*. 


Al tiempo que algunos proveedores del servicio de internet han arrojado alguna luz sobre este tipo de 
prácticas a través de sus informes de transparencia, y han acusado su incompatibilidad con estándares 
en materia de transparencia, privacidad y libertad de expresión; han decidido al tiempo reclamar por 
cómo el acceso directo significa perder dominio y control sobre su propia infraestructura”. 


El Tribunal Europeo de Derechos Humanos tuvo la oportunidad de referirse al acceso directo en el fallo 


42 Ver la publicación de Katitza Rodríguez y Veridiana Alimonti en el Blog de la Electronic Frontier Foundation en donde se re- 
coge un extracto a la explicación de Telecom sobre por qué no puede oponerse al acceso directo “some governments may requi- 
re direct access into companies' infrastructure for the purpose of intercepting communications and/or accessing communica- 
tions-related data. This can leave the company without any operational or technical control of its technology”. Ver aquí https:// 
www.eff.org/deeplinks/2021/02/when-law-enforcement-wants-your-private-communications-what-legal-safeguards-are 





43 En el blog de la Freedom Online Coalition tanto Lisl Brunner y Patrick Hiselius informan en detalle al respecto. La entrada 
puede consultarse aquí https://freedomonlinecoalition.com/blog/blog-2-direct-access-systems-and-the-right-to-privacy-by- 


lisl-brunner-and-patrik-hiselius/ 
44 Idem. 
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de Roman Zakharov v. Rusia*, proferido en 2015. En dicho fallo el Tribunal sentenció que el acceso di- 
recto es una práctica propensa al abuso**, y que la orden de una autoridad estatal en la que constan los 
fundamentos de la intención de acceder a los datos de las comunicaciones de una persona son la ga- 
rantía más importante para asegurar la aplicación de la ley y el respeto de sus derechos”. El deman- 
dante del caso remarcó también que el acceso directo permitía la interceptación indiscriminada de las 
comunicaciones*. Además de su legalidad, esto pone en cuestión la necesidad y proporcionalidad de 
la práctica de acceso directo. Una práctica que permite la vigilancia indiscriminada de las comunica- 
ciones va en contra de los estándares internacionales de derechos humanos. 


Tal y como lo puso de presente la organización Privacy International en su intervención” ante el Relator 
Especial para la Libertad de Expresión de la ONU a propósito de las prácticas de acceso directo que 
estaban siendo documentadas y denunciadas en la Antigua República Yugoslava de Macedonia en 
2016, el acceso directo no es una práctica reciente. Se viene documentando su uso en diversos países 
del mundo desde los años 90. 


Privacy International destacó en su informe el valor que tienen los informes de transparencia de las 
compañías proveedoras de acceso a internet para visibilizar este tipo de prácticas en los casos en que 
no pueden denunciar públicamente su despliegue. Es más, recoge casos de los informes de empresas 
que han permitido en varias partes del mundo identificar en qué países se ejecutan actividades de ac- 
ceso directo sin supervisión ni control legal. 


Más recientemente, durante la pandemia, la GNI* se manifestó en torno a este tipo de prácticas al 
decir que: 


Cuando los datos son extraídos a través del acceso directo se pueden utilizar para acusar, detener, 
condenar o encarcelar a personas, situación que podría infringir el derecho a la libertad, la seguridad 
de la persona y el debido proceso. En términos más generales, los Estados que recurren al acceso directo 
probablemente debilitan la confianza pública tanto en la responsabilidad del gobierno como en la fia- 
bilidad y seguridad de las tecnologías de las comunicaciones. Este abuso de confianza puede llevar a 
consecuencias masivas y dañinas de tipo político, social y económico” (Subrayado nuestro). 


En Colombia, el Decreto 1704 de 2012 sobre interceptación de las comunicaciones prevé que “llos 
proveedores de redes y servicios de telecomunicaciones (...) deberán implementar y garantizar en todo 
momento la infraestructura tecnológica necesaria que provea los puntos de conexión y de acceso a la 
captura del tráfico de las comunicaciones que cursen por sus redes”. Aunque esta no es una previsión 
lo suficientemente precisa como para responder a la pregunta sobre si esta práctica se encuentra o no 
consagrada, se menciona por algunos PSI colombianos como la base legal de despliegue de este me- 
canismo de vigilancia de las comunicaciones. 


Con esta nueva edición de nuestro informe hemos decidido emprender la tarea de documentar y poner 
especial atención a lo que informan los PSI al respecto. Empezamos con las afirmaciones que algunas de 


45 Puede leerse el fallo aquí https://hudoc.echr.coe.int/engití%22itemid%22:[%22001-159324%22]t 
46 Idem, párrafo 270. 


47 Idem, párrafo 269. 
48 Idem, párrafo 160. 
49 Se puede leer acá https://www.ohchr.org/Documents/Issues/Expression/Telecommunications/PrivacyInternational.pdf 


50 Publicación original que puede consultarse aquí https://globalnetworkinitiative.org/defining-direct-access-2 





51 Traducción de la publicación de GNI efectuada por la Fundación Karisma. Disponible en español aquí https://web.karisma. 
org.co/definiendo-el-acceso-directo-gni-hace-un-llamado-por-una-mayor-transparencia-y-dialogo-en-torno-al-acceso-de- 
los-datos-de-las-personas-usuarias-de-los-servicios-de-telecomunicaciones-por-parte-de-los 
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las empresas han hecho desde 2017 y sobre todo los datos más recientes de Movistar en su informe de 
2020 en donde es claro que las empresas no pueden documentar las interceptaciones de líneas móviles 
en tanto que se trata de una actividad que ejecuta de manera directa la Fiscalía General de la Nación. 


Evaluaremos en concreto si los PSI informan a sus suscriptores sobre esta realidad que impacta en su in- 
fraestructura y los datos de las comunicaciones de las personas usuarias de sus servicios, si advierten algo 
sobre el marco legal en que ésta práctica se orienta, y valoraremos especialmente si hacen explícita su pos- 
tura o rol ante este tipo de prácticas (como el de pasividad forzada y falta de trazabilidad, por ejemplo). 


Para 2021, en este criterio de evaluación destaca el caso de Movistar por la claridad con que mani- 
fiesta este tipo de realidad. También merece mención los casos de Claro y Tigo que poco a poco van 
aumentando el número de PSI que públicamente se manifiestan al respecto. 


Movistar ha reportado en su informe de transparencia desde 2017 que, sobre interceptación de las te- 
lecomunicaciones “[sjolo se incluyen los requerimiento sobre líneas fijas. Líneas móviles: No se reportan 
interceptaciones sobre líneas móviles. La Fiscalía General de la Nación en Colombia, por ser la autoridad 
competente de conformidad con la Constitución y la Ley, realiza las interceptaciones de manera directa 
sobre las líneas móviles””?. (Subrayado propio) 


Se trata de una previsión que es indicativa del acceso directo, que sugiere una distinción entre lo que 
sucede sobre la interceptación según se trate de líneas móviles o fijas, y que es clara respecto de quién 
la lleva a cabo. 


Tigo porsu parte ha decidido manifestar en su informe de “requerimientos de datos personales por ter- 
ceros y bloqueos de contenido” que “entregamos información personal o damos acceso directo a bases 
de datos o sistemas que contienen información personal a nuestro cargo a autoridades en ejercicio de 
sus competencias"(Subrayado propio). Así mismo señala que el Decreto 1704 de 2012 sirve como mar- 
co legal de esta práctica. 


Es más, según esta misma evaluación efectuada por la Electronic Frontier Foundation sobre Millicom 
(propietaria de Tigo) en 2019, se evidenció de manera explícita en su informe de transparencia que las 
autoridades tienen acceso directo a su infraestructura y datos de suscriptores en Colombia: 


Los procedimientos en Colombia nos obligan a proveer acceso directo a nuestra infraestructura en fa- 
vor de las autoridades. Auditorías regulares aseguran que nosotros no obtengamos información sobre 
cuándo una interceptación de este tipo tiene lugar. Estamos sujetos a estrictas sanciones, incluyendo 
multas, si las autoridades averiguan que hemos obtenido información en ese sentido. Como resultado de 
ello, no poseemos información sobre cuán seguido y por qué períodos de tiempo las comunicaciones 
son interceptadas en uso de nuestra infraestructura en Colombia (Subrayado nuestro)”*. 


Misma situación reportó sobre Honduras, El Salvador y Paraguay, solo que en éste último caso se ha- 
bilita a los PSI a remitir una queja a la Corte Suprema de ese país en caso de que la orden de acceso 
directo la encuentren arbitraria o injusta. Algo que no se prevé en el caso Colombiano a favor de los 
PSI. Este es un tema interesante a resaltar pero no se califica puesto que la información que se evalúa 
es la del informe local. 





52 Ver los informes desde 2016 para Colombia aquí https: 
guridad/informe-de-transparencia/ 
53 Traducción propia del documento “Millicom Group Law Enforcement Disclosure Report” de 2019. Ver pg. 10 aquí https:// 


www.millicom.com/media/4222/v4_led-report-2019-002.pdf . Misma información se reportó en 2020 aquí https: //www.milli- 
com.com/media/4402/final-millicom-led.pdf, ver pg. 11. 
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Movistar indicó por primera vez en su informe de transparencia de 2017 que no podía reportar sobre 
solicitudes de interceptación en sus lineas móviles porque ésto lo hacía directamente la Fiscalía. Como 
vimos, Millicom, en su informe de 2018 sobre los diferentes países donde opera, también indicó algo 
similar y Claro ese mismo año también señaló en su informe de sostenibilidad una diferencia sobre el 
régimen jurídico de interceptación de las comunicaciones aplicable entre líneas fijas y líneas móviles. 
Desde entonces estas empresas han venido informando sobre el tema, si bien hay que resaltar que la 
información suministrada es especialmente clara en los informes de Movistar. 


Tanto para el caso de Claro como de Tigo creemos que vale la pena a futuro intentar una verbalización 
sobre sus avisos en torno al acceso directo que pueda ser mucho más clara y precisa para los suscrip- 
tores de sus servicios. Hacer uso de una distinción como la empleada por Movistar o una verbalización 
como la que citamos de Millicom puede llegar a ser útil para estos efectos. 


En definitiva, que en Colombia exista acceso directo de las autoridades a las redes de los PSI sin un 
marco jurídico claro, sin mediar evaluación de impacto en la privacidad de las personas y sin que haya 
tenido lugar un análisis profundo sobre su constitucionalidad o compatibilidad con el marco jurídico 
nacional y compromisos asumidos por el Estado colombiano en materia de derechos humanos, es mo- 
tivo de preocupación. 


La ausencia de controles contrasta con el ejercicio de transparencia que poco a poco han decidido lle- 
var adelante los PSI que son quienes nos ofrecen algún indicio sobre su desarrollo. Más grave aún nos 
parecen las implicaciones que un aviso como el de Millicom tiene en torno al acceso directo como una 
condición que puede significar para la empresa un castigo económico, y que merecerá que elevemos 
las preguntas correspondientes a las autoridades encargadas. 


2.4. Solicitudes de datos por parte de entidades públicas, 
procedimiento de entrega y notificación a las personas 
sobre dichos eventos 


La Ley de Protección de Datos permite la entrega de datos personales a entidades públicas o adminis- 
trativas en ejercicio de sus funciones legales o por orden judicial sin autorización de la persona titular 
de los datos**. Las autoridades que reciben la información deben guardarla en reserva, usarla solo 
para los fines para los cuales la recibieron, deben informar a los titulares del dato sobre el uso que le 
dan y tomar medidas de seguridad para protegerla”. 


En este eje de evaluación esperamos que las empresas provean información sobre los procedimientos 
que han diseñado y que siguen internamente a la hora de entregar los datos de las personas que se 
suscriben a sus servicios a las entidades públicas que los solicitan. 


Por procedimiento interno nos referimos al proceso de consideración sobre la legalidad y procedencia 
del pedido antes que al procedimiento desde un punto de vista técnico. Es decir, se trata de establecer 
si la empresa tiene procedimientos alineados con los derechos humanos. 


Por notificación a las personas usuarias lbuscamos identificar si los PSI avisan a sus suscriptores de la 
entrega de sus datos personales a las autoridades facultadas para requerir acceso a estos. Se trata 
de promover una buena práctica que aún no tiene recepción legal en Colombia. Con frecuencia se nos 
indica que dicha notificación no es compatible con la confidencialidad que revisten las investigacio- 


54 Ley 1581 de 2012 art. 10 y 13 
55 Corte Constitucional. Sentencia C-748 de 2011. M.P. Jorge Ignacio Pretelt Chaljub. 
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nes preliminares de tipo penal, sin embargo, consideramos que esta afirmación no puede ser llevada 
a extremos y que -como sucede en otros países de la región como Chile- tal restricción como mínimo 
debería ser excepcional y limitada a delitos graves, pero entendemos que en este campo existe una 
discusión que debe darse. 


En todo caso, en los años de seguimiento a este informe hemos evidenciado que son diversas las autori- 
dades -no solo las de tipo penal- las que solicitan los datos personales de quienes suscriben los servicios 
de los PSI y por tanto creemos que la notificación puede tener lugar en el marco de actividades y órde- 
nes de otro tipo, como las que suceden en el ámbito tributario, fiscal o en el marco del logro de políticas 
sobre beneficios sociales, por citar algunos ejemplos. 


En términos generales, creemos que todavía falta avanzar para que se generalice la descripción de los 
protocolos de atención a las solicitudes de entrega de datos que pueden elevar las autoridades públi- 
cas a los PSI. 


Durante 2021 los PSI no efectuaron cambios significativos en sus políticas sobre entrega de datos en 
comparación con la información que ya ofrecían en 2020. 


Sobre el procedimiento o protocolo para atender solicitudes de entrega de datos de sus suscriptores 
con criterios más o menos definidos se destacan Movistar, Tigo, DirecTV y ETB. 


Por su cuenta, Claro solo describe cuáles son las autoridades facultadas para elevar este tipo de soli- 
citudes, sin detallar un procedimiento en este sentido, y Avantel dice tener procedimientos de este tipo 
pero no los desarrolla ni explica. EmCali, Hughesnet y Skynet no proporcionan ninguna información 
al respecto. 


Queremos resaltar que tanto Movistar como ETB y Tigo tienen los protocolos de trámite para las soli- 
citudes de entrega de datos más fáciles de comprender. Describen en flujos de procesos el paso a paso 
en que las tramitan, y suelen incluir una fase de validación sobre su procedencia y legalidad. 


Sin embargo, ninguna compañía con excepción de DirecTV se compromete públicamente a notificar a 
sus suscriptores de la entrega de sus datos al sector público, compromiso que advierte se hará siempre 
y cuando ésto sea posible. Habría que advertir que el alcance de este informe no permite verificar su 
cumplimiento, por tanto sería deseable que DirecTV acompañara a esta política con la indicación del 
número de veces que ha notificado de esto a las personas. 


Movistar por su parte, si bien no cuenta con procesos de notificación a sus suscriptores, despliega me- 
canismos de protección a los derechos de sus usuarios. Señala que en la validación de la procedencia 
de las solicitudes de acceso a sus datos personales, aplica los principios de: confidencialidad en su trá- 
mite, exhaustividad y fundamentación de la orden, proporcionalidad y neutralidad política de la mis- 
ma, respuesta diligente en su trámite y seguridad en la entrega de los datos. 


*De contexto e interés* 


Y si bien el proceso de notificación a las personas suscriptoras de este tipo de eventos es todavía excep- 
cional, es una buena práctica que merece un análisis cercano para evaluar su conveniencia, especial- 
mente a partir de las solicitudes de entrega de datos que fueron elevados en repetidas ocasiones a los 
PSI a raíz de la pandemia y que fueron efectuados en casos como los de constitución de la base maestra 
de datos para identificar y notificar a las personas beneficiarias del Programa Ingreso Solidario (PIS). 


Según noticia reciente, supimos por la publicación del medio La Silla Vacía que el abonado celular de 
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las personas beneficiarias de dicho programa y que fue entregado por los PSI al Departamento Na- 
cional de Planeación”, fue accedido de manera irregular por terceros no autorizados con el fin de pu- 
blicitar campañas políticas en el marco de la contienda electoral que tendrá lugar en marzo de 2022””. 


La notificación previa, en este tipo de casos, podría ayudar a informar a las personas afectadas per- 
mitiéndoles una mayor trazabilidad de su información en la pregunta sobre dónde están sus datos. Si 
bien no es deber de los PSI evitar la ocurrencia de situaciones como la documentada por La Silla Vacía, 
procesos como la notificación sobre la entrega de sus datos al Estado podría llegar a habilitar a las 
personas para reclamar de manera informada ante la autoridad de protección de datos y exigir la ren- 
dición de cuentas sobre lo sucedido. 


Así mismo, genera particular inquietud la ausencia de información sobre la atención a solicitudes de 
acceso a datos personales elevados por autoridades públicas ante empresas como Emecali, de la que es 
propietaria el Estado. En este sentido, creemos que los PSI en donde el Estado es accionista o propieta- 
rio deben publicar y adoptar políticas de transparencia en la entrega de datos de sus suscriptores con 
un estándar más elevado, dada su naturaleza. 


También echamos en falta información detallada en el caso de ETB que informe cómo se da curso a las 
solicitudes de entrega de datos cuando las solicitan entidades en donde la empresa tiene participación 
como accionista. Es el caso de la Agencia de Analítica de Datos de Bogotá, AGATA?*?, y que fue consti- 
tuida en 2020 por ETB, el Grupo de Energía de Bogotá, la Empresa de Acueducto y Alcantarillado de 
Bogotá, la Unidad Administrativa Especial de Catastro Distrital y la Secretaría Distrital de Planeación. 
Según el portal web de dicha Agencia, los miembros de la alianza proveen las fuentes de información 
(¿incluirá los datos de las personas suscriptoras de dicho PSI y en caso afirmativo, se informará a su 
titular?) para proveer información analítica que apoye la toma de decisiones. 


En una petición de acceso a la información que dirigimos en 2021 a AGATA?”, y en la que preguntamos 
sobre el origen de las fuentes de información y los usos a los que estarían destinados, supimos que di- 
cha agencia podrá acceder a “las bases de datos que se encuentren en poder de cualquier entidad u 
organismo del Distrito Capital de Bogotá, del sector central, del sector descentralizado o el de las loca- 
lidades” a fin de cumplir con su objeto social que es aportar “a la visión de Smart City y de transparencia 
de la Bogotá del Siglo XXI” y cuyos servicios “podrá comercializar” al sector privado. 


En futuras ediciones de nuestro informe seguiremos de cerca este tipo de iniciativas que podrán llegar 
a justificar una evaluación mucho más exigente en materia de transparencia sobre la compartición de 
datos personales que efectúan empresas en donde el Estado es accionista o propietario. 


56 Resolución 1093 de 2020 “el Departamento Nacional de Planeación -DNP en coordinación con los operadores de telefoná 
celular adelantará la ubicación de beneficiarios no bancarizados e implementará una estrategia de bancarización digital a 
través de números de telefonía celular”, art. 2, lit. c. 


57 Sugerimos consultar el artículo de Jineth Prieto publicado en La Silla Vacía titulado “Uribismo hace campaña con bases 
de datos de Ingreso Solidario en Santander” https://www.lasillavacia.com/historias/silla-nacional/uribismo-hace-campa- 





na-con-bases-de-datos-de-ingreso-solidario-en-santander/?s=09 





58 Constituida a través del Decreto Distrital 272 de 2020. 
59 Petición que fue identificada bajo el radicado 827722021, respondida el 20 de abril por la Agencia de Analítica de Datos. 
60 Ver justificación del Decreto 272 de 2020. 
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3. Eje sobre libertad de expresión 


3.1. Obligación legal de bloqueo y el procedimiento de 
bloqueo 


El bloqueo de sitios web o URL son medidas de excepción que deben estar reguladas en la ley. Ordenes 
de este tipo solo proceden como medida de protección de un derecho humano u otro interés legítimo*”. 


En Colombia la protección de esos intereses legítimos ha dado paso a cuatro subtipos de bloqueo legal 
en particular, y que son: el bloqueo de sitios web en que circulan contenidos sobre el abuso sexual in- 
fantil en línea?, el bloqueo para combatir la ilegalidad en los juegos de suerte y azar*, las órdenes de 
bloqueo de tipo judicial y administrativo, y las órdenes de bloqueo que tienen lugar durante los estados 
de emergencia y excepcióné*, 


Existen también eventos en que los PSI advierten en los términos y condiciones de prestación de sus ser- 
vicios que podrían llegar a bloquear sitios web o URL por razones de tipo contractual. En este tipo de 
escenarios, pedimos a los PSI implementar procedimientos de reclamo en favor de las personas usuarias. 


En nuestra evaluación nos interesa verificar, en concreto, que los PS| reconozcan que llevan a cabo este 
tipo de medidas y que cuentan con un procedimiento para tramitarlas. Explicar el procedimiento es un 
acto de transparencia en la manera en cómo se ejecuta el bloqueo, independientemente de si su origen 
es de tipo legal o contractual. 


En la explicación de dicho procedimiento también verificamos si se prevé un paso de notificación a las 
personas usuarias de sus servicios sobre el tipo de bloqueo efectuado, el marco legal y la razón en que 
éste se motiva. 


En nuestra revisión encontramos que Claro, Movistar, Tigo, ETB y Avantel informan sobre la ejecución 
de órdenes de bloqueo de sitios web o URL. 


Movistar informa a plenitud sobre todos los tipos de bloqueo de sitios web o URL que puede efectuar. 
Cuenta con un procedimiento detallado para tramitar solicitudes de bloqueos de sitio web y URL. Y 
también notifica a sus suscriptores del tipo de bloqueo que efectúa en cada caso, anunciado el soporte 
legal en que se motiva cada uno. 


Claro es el único PSI que informa expresamente en su informe de transparencia que no efectúa blo- 
queos de sitios web o URL de naturaleza contractual. Sin embargo, pese a contar con un procedimiento 
de bloqueo, no anuncia a las personas usuarias de sus servicios cuándo un sitio web o URL han sido 
bloqueados, o la razón de ello. 


Tigo cuenta con un procedimiento detallado de bloqueo, así como informa que notifica a las personas 
usuarias de sus servicios cuando un bloqueo de sitio web o URL ha tenido lugar, así como el motivo en 
que dicha medida se justifica. 


61 Esto es así según el estándar interamericano fijado por la Relatoría para la Libertad de Expresión de la Organización de Es- 
tados Americanos. Al respecto se puede ver el informe “Estándares para una Internet Libre, Abierta e Incluyente”, que se puede 


consultar aquí http://www.oas.org/es/cidh/expresion/docs/publicaciones/internet_2016_esp.pdf 
62 Según lo contenido en el art 7 y art 8 de la Ley 679 de 2001; art. 5 y art. 6 del Decreto 1524 de 2002 


63 Según lo ordena el art. 38 de la Ley 643 de 2001. 
64 Según el art. 8 de la Ley 1341 de 2009. 


2021: una mirada retrospectiva ala pandemia 27 


Avantel avisa que lleva a cabo bloqueos de sitio web o URL de naturaleza contractual sin proveer in- 
formación sobre si cuenta o no con procedimientos de reclamo para que las personas suscriptoras que 
estimen que se trató de un procedimiento arbitrario puedan solicitar una revisión de dicha medida. 
Esta compañía cuenta con un procedimiento para dar trámite a este tipo de eventos pero no informa 
en qué consiste. 


Emcali y Hughesnet informan que bloquean sitios web o URL solo en el caso de circulación de conteni- 
do de abuso sexual infantil. Skynet no provee información sobre ninguno de estos criterios. 





El 15 de septiembre de 2020 se documentó por primera vez la imposición de una medida cautelar de 
bloqueo de sitio web o URL en materia de derecho de autor?”. 


La Dirección Nacional de Derechos de Autor ordenó a Claro, ETB, Tigo, Movistar “y demás proveedores de 
acceso a Internet” que bloquearan de manera temporal la retransmisión hecha por una persona en internet 
(Facebook, concretamente) sobre una señal con contenido deportivo respecto de la cual su titular (reserva- 
do en el expediente) no había concedido permisos a terceros para retransmitirla en la web. 


Es importante señalar que el bloqueo de URL o sitios web por la retransmisión ilegal de contenidos en 
internet no se encuentra plenamente regulado en Colombia. El marco jurídico aplicable es la Ley en 
derecho de autor que data de 1982 y que no responde a las dinámicas de Internet. 


Dicha ley junto al Código General del Proceso consagran la imposición de medidas cautelares que ha- 
bilitan al titular del derecho de autor a interrumpir la continuación de la vulneración de su derecho, 
pero ni la Ley ni el Código ofrecen elementos de valoración que permitan articular el impacto de la 
medida con la arquitectura de internet y el respeto por sus principios fundantes. 


En torno a su motivación, la medida es más bien escueta. Afirma que “con la finalidad de evitar las con- 
secuencias derivadas de la posible infracción, prevenir los posibles daños con el despliegue de conduc- 
tas que quieren evitarse con la medida cautelar propuesta y asegurar la efectividad de la pretensión, 
considera este Despacho que se encuentra justificada en derecho”**. A la fecha desconocemos si esta 
medida cautelar sigue en pie. 


En el marco de las órdenes de bloqueo “de origen legal y administrativo” hemos visto también un creci- 
miento en el número de órdenes de bloqueo temporal de sitios web dirigidas a la protección de datos?” 
de las personas, y que son emitidas por la SIC y su Delegatura de Protección de Datos. 


La orden de bloqueo temporal de datos se encuentra prevista en el artículo 21 (lit. c) de la Ley 1581 de 


65 Accedimos a la medida cautelar a través de una solicitud de acceso a la información. La respuesta se identificó con el radi- 
cado 1-2-21-25964. La medida cautelar se identifica bajo el radicado 1-2020-86220, suscrita por la Subdirección de Asuntos 
Jurisdiccionales de la Dirección Nacional de derecho de autor, Auto 04 del 15 de septiembre de 2020. 


66 La medida cautelar se identifica bajo el radicado 1-2020-86220, suscrita por la Subdirección de Asuntos Jurisdiccionales de 
la Dirección Nacional de derecho de autor, Auto 04 del 15 de septiembre de 2020, ver pg. 9 


67 Aunque esto seguramente lo analizaremos en nuestro informe en que evaluemos lo sucedido en 2021, es importante docu- 
mentar el incremento que estos bloqueos están teniendo. Así, mientras en 2018 se reportó un solo caso (bloqueo del sitio web 
de pig.gi según la Resolución 20568 de 2018 y 21215 de 2018), en 2021 se documentaron al menos ocho casos (bloqueo del sitio 
web de Ocupar Temporales según la Resolución 64453 de 2021; bloqueo del sitio web de Colombia Reports según la Resolución 
46344 de 2021; el bloqueo de URL en Twitter y Telegram según la Resolución 37376 de 2021; el bloqueo de sitio web de Ghostbin 
y Archive.org según la Resolución 37070 de 2021; bloqueo del sitio web de WOM Colombia según la Resolución 19163 de 2021; 
bloqueo del sitio web de Avantel S.A.S según la Resolución 12734 de 2021; bloqueo de sitio web de la Fuerza Aérea Colombia 
según la Resolución 970 de 2021; bloqueo del sitio web de la Fundación Talentum según Resolución 842 de 2021). 
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2012 que faculta a la SIC a ordenar de manera preventiva el bloqueo de sitios web en los eventos en 
que se difunden datos personales sin la autorización de su titular. 


Para la procedencia de esta medida, la persona afectada debe (i) solicitar a la SIC expresamente su 
imposición, (ii) debe tratarse de la difusión no autorizada de datos que consten en una base de datos 
identificable y amparada bajo el marco de aplicación de la ley de protección de datos, y (iii) se deben 
aportar pruebas que permitan constatar a la autoridad que la difusión no consentida de los datos per- 
sonales constituyen un riesgo cierto para el ejercicio de sus derechos. 


Cuando la protección de datos se encuentra en conflicto con otros derechos como el de la libertad de 
expresión, la autoridad de protección de datos se debe abstener de imponer este tipo de medidas en 
tanto que no es competente para valorar conflictos entre derechos fundamentales y que requieren la 
valoración de un ¡juez de la república. 


Más recientemente hemos visto cómo ha habido casos en donde se ha discutido la imposición de me- 
didas de bloqueo temporal de datos y se ha decidido sobre su procedencia, incluso respecto de casos 
en donde la libertad de expresión se encuentra en juego. En futuras ediciones valoraremos que los PSI 
puedan a futuro desagregar el tipo de bloqueo según la autoridad administrativa que la emite (como 
en el caso de la DNDA o la SIC) y que dichas órdenes se vean reflejadas con mayor detalle en sus infor- 
mes de transparencia anual. 


4. Eje sobre seguridad digital 


En este eje, se evalúa si las compañías informan las fugas de datos personales y acciones de mitigación 
en caso de que se presenten, si tienen protocolos de notificación a las autoridades cuando suceden 
fallas de seguridad que comprometen los datos personales de las personas usuarias de los servicios, 
así como si las notifican sobre estos sucesos luego de que hayan desplegado las debidas medidas de 
mitigación. También tomamos nota de los portales web de cada operador y que en efecto usen un pro- 
tocolo de seguridad https. 


Mientras que todos los operadores han incluido el certificado de seguridad en sus portales, solo tres 
operadores cuentan con políticas públicas para el manejo de fugas de datos. Esta información no ha 
variado en comparación a los hallazgos de 2020. 


Movistar, Tigo y Avantel son las Únicas que cuentan con un protocolo y documentación para realizar 
acciones de mitigación y bloqueos. Skynet advierte en general qué medidas de seguridad despliega 
pero no cuáles son las de contingencia que aplicaría para posibles brechas de seguridad. 


Movistar advierte en su Centro de Privacidad que notificará a las autoridades ante eventos de fuga, 
que notificará a las personas suscriptoras de sus servicios y que hará públicas las acciones empleadas 
para la mitigación. 


Tigo expresa en su documento titulado “Requerimiento de datos personales por terceros y bloqueos de 
contenido” que ante incidentes de seguridad cumplirá con la obligación legal de reportarlo ante la Su- 
perintendencia de Industria y Comercio, así como notificará a sus suscriptores de un “mecanismo eficaz 
(...) y las medidas realizadas por la compañía para disminuir el riesgo”. 


Avantel prevé en su política de tratamiento de datos que notificará a la autoridad cuando “se presenten 
violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los ti- 
tulares”, así mismo asume como deber “informar y apoyar el responsable en la gestión de incidentes de 
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seguridad de la información que comprometan información personal de los cuales tenga conocimiento 
o que sean informados al responsable”. Si bien no expresa que notificará a las personas suscriptoras de 
sus servicios sobre eventos de este tipo, sí señala que emprenderá las acciones de mitigación que sean 
pertinentes en cada caso. 


Finalmente, pudimos validar que todos los PS| evaluados han implementado el protocolo https en sus 
sitios web. 
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Recomendaciones 


La transparencia en la información es un instrumento clave en la exigencia y la realización de otros de- 
rechos. Los proveedores de acceso y servicios de internet en Colombia han avanzado con políticas en la 
concreción de una mayor transparencia sobre sus actividades comerciales que impactan en la libertad 
de expresión, privacidad y seguridad digital de las personas usuarias de sus servicios. Tal y como hemos 
documentado a lo largo de estos seis años de ¿Dónde están mis datos?, se trata de pasos significativos 
en la consolidación de sus compromisos con los derechos humanos. 


Creemos que en esta etapa en que nos encontramos, el camino que hay que recorrer transita por afinar 
las políticas existentes en un mayor detalle y precisión: más y mejor información redunda en beneficio 
de todas las personas que orientan mejor sus procesos de toma de decisión sobre qué servicio adquirir 
con qué ISP, también ofrecen más luz sobre las prácticas opacas de las autoridades. 


Nuestras recomendaciones en el eje de compromisos políticos apuntan en concreto a: 


e Incentivar a las compañías que aún no adoptan compromisos en materia de género y accesibili- 
dad a que emprendan esfuerzos en este sentido. No solo porque se precisa de una mayor repre- 
sentación del resto de la sociedad en un sector crítico como el de las tecnologías, sino porque ma- 
yor diversidad significa a su vez un paso afirmativo hacia la igualdad en escenarios donde todas 
las voces merecen participar, tomar la palabra y ser visibilizadas. 


* En materia de transparencia creemos que los PSI que aun no publican información sobre solicitu- 
des de datos de sus suscriptores, bloqueos de URL e interceptación de las comunicaciones deben 
hacerlo, no solo por los mandatos legales vigentes que los obligan a ello, sino porque facilitan a su 
vez el ejercicio de un mayor escrutinio sobre las actividades y obligaciones a cargo del Estado en 
cada una y respecto de la que éste no provee información activamente. 


*« En materia de neutralidad de la Red instamos a los PSI a ir más allá de la publicación de sus prác- 
ticas de gestión del tráfico, haciendo público y expreso su compromiso por proteger el principio 
de neutralidad de la Red. 


Nuestras recomendaciones en el eje de intimidad enfatizan en: 


* Verlas buenas prácticas que otros PSI han adoptado para garantizar la protección de los datos 
de las personas usuarias de sus redes a través de la implementación, por ejemplo, de análisis de 
impacto en privacidad, o reservando para sí la realización de auditorías en dicha materia respec- 
to de socios comerciales con los que se suscriben acuerdos. 


* Seprecisa implementar procesos de notificación de las personas suscriptoras de sus servicios para 
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que estén enteradas sobre los eventos de compartición de sus datos personales con el Estado. El 
caso del Programa Ingreso Solidario torna urgente este tipo de acciones que habilitan a las per- 
sonas al reclamo y mejor ejercicio de sus derechos ante las autoridades públicas. 


* Sobre la retención de los datos de las personas usuarias de los servicios de los PSI se precisa, en 
general, de mayor información sobre lo que significa en la práctica almacenar y conservar esta 
información, incluso por un período de tiempo mucho mayor al que prevé la ley colombiana. Se 
requiere de una mayor compatibilidad entre las prácticas y las normas que regulan esta materia. 


* Sobre elacceso directo invitamos con vehemencia a los PSI a que informen sobre si experimentan 
una situación como la descrita por Claro, Movistar y Tigo en sus reportes de transparencia anual. 
Esta información es una vía que habilitará el escrutinio y la rendición de cuentas a cargo del Esta- 
do, pero para ello es importante que las compañías decidan informar sobre si el acceso directo es 
una realidad que pesa sobre su infraestructura y datos de las personas que usan sus servicios. Al 
tiempo, es importante que hagan saber a estas personas cuáles son las limitaciones que les impi- 
den efectuar un rol de protección o resguardo de la privacidad de éstos últimos. 


Nuestras recomendaciones en el eje de libertad de expresión: 


e Es preciso que se pueda informar con mayor detalle sobre las estadísticas de bloqueo de sitios 
web y URL en cada uno de los eventos que se encuentran regulados o que tienen lugar en Colom- 
bia pese a la ausencia de regulación específica para casos como el de los bloqueos por derecho 
de autor. 


* Entanto que en la edición que viene documentaremos la información que proveen sobre los blo- 
queos de URL y sitios web que tuvieron lugar durante el paro nacional en 2021, creemos que es 
importante aumentar el detalle del procedimiento de atención a estas órdenes, así como las ins- 
tancias de evaluación y rechazo que pueden insistir en su inaplicación por el impacto que tienen 
en el ejercicio del derecho a la libertad de expresión de sus suscriptores. 


Finalmente, nuestras recomendaciones en el eje de seguridad digital enfatizan en: 


« Comprometerse con notificar en tiempo y forma a las personas usuarias afectadas en brechas de 
seguridad digital que expongan su información personal y sensible. Este tipo de procedimientos 
cuando son desplegados de manera activa pueden incluso llegar a fortalecer la imagen y credibi- 
lidad de una compañía que decide ser transparente y honesta con sus suscriptores. 


* Seprecisa de compromisos públicos sobre el mismo procedimiento de notificación pero respecto 
de la autoridad de protección de datos. Pese a que pueda constituir un evento que llame la aten- 
ción del regulador sobre la compañía, hacerlo de manera proactiva es también cumplir en tiempo 
con un deber legal consagrado en la Ley de Protección de Datos. 


En general, queremos instar a los proveedores de internet satelital a imitar los progresos de esos otros de 
mayor tamaño y cobertura. Su rol como proveedores del acceso a internet en la ruralidad no es de me- 
nor impacto o de reducida importancia: ustedes también son actores que precisan estar a tono con los 
compromisos y buenas prácticas en derechos humanos vigentes en el sector de las telecomunicaciones. 
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Las gráficas 
¿Dónde están 
mis datos? 


Los datos de la evaluación de cada empresa se reflejan en las siguientes gráficas: 











Cumple todos los parametros 


Bonificación por lenguaje 


incluyente en política de género 


Cumple satisfactoriamente 


Cumple parcialmente 


Cumple de forma insuficiente 


No cumple 





Finalmente, si le interesa ver las tablas con valores más detallados puede consultarlas en su versión 
digital en https://web.karisma.org.co/donde-estan-mis-datos-2021 
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El informe ¿Dónde están mis datos? 2021 es la sexta publicación que 
realiza la Fundación Karisma de esta serie. 


Esta investigación busca que las empresas proveedoras de internet ofrezcan más 
información a sus usuarios para que mejoren su capacidad de hacer efectivos sus 
derechos humanos. 


Para conocer y descargar el texto completo de este año visita: 





Puedes conocer los informes anteriores en hitps://karisma.org.co/DEMD/ 
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